世界的大企業39社が標的に!史上最大規模のSalesforce攻撃事件
2025年10月、サイバーセキュリティ界に激震が走りました。悪名高いハッカーグループ「Scattered Lapsus$ Hunters」(別名:ShinyHunters、Scattered Spider、Lapsus$)が、Salesforceを踏み台とした前代未聞の大規模サイバー攻撃を実行したのです。
被害企業リストを見ると、その規模の深刻さが一目瞭然です:
- Google(アドセンス)
- シスコ
- ディズニー/Hulu
- 富士フイルム
- トヨタ
- GAP
- UPS
- KFC
- マクドナルド
- ケリング・グループ(グッチ、バレンシアガ等)
- プーマ
- カルティエ
- ホームデポ
これら合計39社から、なんと9億845万件ものレコードが窃取されたと攻撃者は主張しています。
巧妙すぎる攻撃手法の全貌
第一段階:ソーシャルエンジニアリングによる侵入
フォレンジック調査の結果、この攻撃の巧妙さは驚くべきものでした。攻撃者は英語を話すITサポート担当者になりすまし、標的企業の従業員に直接電話をかけてきます。
「システムメンテナンスのため、Salesforce Data Loaderへの接続承認が必要です」
このような名目で、従業員をSalesforce Connect設定ページへ誘導し、「接続コード」を入力させることで、攻撃者が制御するデータローダーを企業環境にリンクさせるのです。
実際のCSIRT(Computer Security Incident Response Team)での事例でも、このような電話による攻撃は増加傾向にあります。特に中小企業では、ITサポートの外部委託が一般的なため、従業員が疑いを持ちにくいという問題があります。
第二段階:サプライチェーン攻撃の実行
さらに恐ろしいのは、攻撃者がSalesloftのGitHubリポジトリに侵入し、TruffleHogセキュリティツールを使用してソースコードから機密情報をスキャンしたことです。
この過程で:
- Salesloft DriftのOAuthトークンを発見
- Drift EmailプラットフォームのOAuthトークンも取得
- これらのトークンを使用してAPI経由で各社のSalesforceテナントへアクセス
つまり、一つの第三者サービスの侵害が、数百社規模の被害に拡大する典型的なサプライチェーン攻撃となったのです。
個人・中小企業が直面する現実的脅威
標的型攻撃の増加リスク
今回の事件で特に注意すべきは、法人名、電話番号、法人メールアドレスなどの企業情報が大量に漏洩していることです。
フォレンジック調査の経験から言えば、このような企業情報の漏洩は以下のような二次被害を引き起こします:
- 漏洩した企業情報を使った精巧なフィッシングメールの送信
- 実在する企業名や担当者名を騙った標的型攻撃
- 取引先を装った詐欺行為
- 企業の弱点を狙い撃ちした侵入試行
実際の被害事例として、中堅製造業A社では、漏洩した取引先リストを悪用されて、偽の請求書詐欺により数千万円の被害を受けたケースもあります。
中小企業特有の脆弱性
今回の攻撃手法で特に問題となるのは、多くの企業が以下のセキュリティ対策を軽視していることです:
- 2要素認証(2FA)の未実装
- OAuthアプリケーションのセキュリティ設定不備
- 従業員への電話による詐欺対策教育不足
- 第三者サービス連携時のセキュリティ評価不足
今すぐ実施すべき緊急対策
1. 技術的対策の即座実施
Salesforce利用企業の緊急対応
- SalesDriftとの連携を即座に確認・停止
- 悪意のあるデータローダー/CLIの使用を監査
- 異常なUser-Agent文字列と大量エクスポートのログ確認
- すべてのOAuthトークンを侵害前提で再発行
一般企業の基本対策
- 全クラウドサービスで2要素認証を必須化
- 第三者アプリケーションの連携許可を厳格化
- 定期的なアクセス権限の棚卸し実施
2. 人的セキュリティ対策の強化
従業員教育の徹底
- 電話によるITサポートを名乗る人物への対応手順作成
- システム変更要求は必ず社内で確認する体制構築
- 定期的なフィッシング訓練の実施
3. セキュリティツールの活用
個人や中小企業でも導入しやすい対策として、信頼性の高いアンチウイルスソフト
の導入は必須です。これにより、マルウェアやフィッシングサイトからの基本的な保護が可能になります。
また、リモートワークが増加している現在、通信の暗号化のためにVPN
の利用も強く推奨されます。
企業のWebサイトやアプリケーションを運営している場合は、定期的なWebサイト脆弱性診断サービス
により、攻撃者に悪用される脆弱性を事前に発見・修正することが重要です。
攻撃者の身代金要求と法的リスク
今回の事件で特に注目すべきは、攻撃者が単なるデータ窃取に留まらず、法的手続きを通じた企業への圧力を予告していることです。
攻撃者の声明によると:
- 要求に応じない場合、2025年10月10日以降に法律事務所と協力
- GDPR、CCPA、HIPAAなどの規制違反を指摘する文書を提出
- 刑事上の過失(Criminal Negligence)として告発する可能性
これは従来の「データを暗号化して身代金を要求する」ランサムウェア攻撃とは異なる、より巧妙な脅迫手法といえます。
Scattered Spiderの正体と今後の脅威
GoogleのGTIG(脅威インテリジェンスグループ)は、この攻撃グループをUNC6040およびUNC6395として追跡しています。
このグループの特徴:
- 英語圏を拠点とする高度な技術力を持つ集団
- 複数の名義(ShinyHunters、Scattered Spider、Lapsus$)で活動
- ソーシャルエンジニアリングとサプライチェーン攻撃の組み合わせを得意とする
- 大企業を標的とした「高付加価値データ」の窃取を専門とする
過去の活動実績から、今後も同様の手法による攻撃の継続が予想されます。
まとめ:包括的セキュリティ対策の必要性
今回のScattered Spider事件は、現代のサイバー攻撃の複雑さと巧妙さを如実に示しています。技術的な脆弱性だけでなく、人的要素、サプライチェーン、法的リスクまでを組み合わせた多面的な攻撃に対応するには、包括的なセキュリティ対策が不可欠です。
個人事業主から大企業まで、すべての組織が以下の点を再確認する必要があります:
- 基本的なセキュリティツール(アンチウイルスソフト
、VPN
)の確実な導入 - 従業員教育とインシデント対応体制の整備
- 第三者サービス利用時のセキュリティ評価
- 定期的な脆弱性評価(Webサイト脆弱性診断サービス
)の実施
「自分の会社は小さいから大丈夫」という考えは、もはや通用しません。サプライチェーン攻撃により、どんな規模の企業も標的になり得る時代なのです。
今すぐ、あなたの組織のセキュリティ対策を見直してください。それが、Scattered Spiderのような高度な攻撃から身を守る第一歩となります。
